最近商売上手な邦楽洋楽が増えすぎて、国産もお腹いっぱい。
ウルフルズ再結成してからCDに1曲いい曲はあるけど、うーん。
洋楽もMaroon5/ColdPlay/RIHANNAに似てる？何回か聞いたら一緒、
友達がバンド組み始めて、どうもロック耳になってしまってる。
フランス出身の２ピースバンド、フジロックの常連さんです。

The Inspector Cluzo / THE FRENCH BASTARDS

Evolve / Imagine Dragonsと正直迷ったけど、やっぱこれ。
むさ苦しいおっさんです、ロックです、パンクです、ファンクも少々入ってます。
(注意)youtubeのリンクをクリックすると音がでます





やっぱ何度聞いても↑よりも↓好きなんです、↑Coldplayみたいでしょ


The Inspector Cluzo / THE FRENCH BASTARDS
たぶん爆発的に売れないのは、そのむさ苦ししぎる２人だからでしょう。

まずFireballの詳細は、以下の記事に任すとして、
http://www.itmedia.co.jp/news/articles/1706/23/news062.html
https://cybersec-tech.sakura.ne.jp/blog/menu/international/588/
http://www.itmedia.co.jp/enterprise/articles/1701/20/news064.html
全て読んだと想定して書いていますが、この一番大きな問題は、
APPLE製品の約3割の端末が、既に「踏み台になっている」可能性がある、
という問題があります。Appleは「Fruitfly」と名付け対策済みらしいですが…



このFireball、今までのマルウェアと大きく違うところが2点あります。
シンプルな2ファイルのみで外部の制御サーバと通信しています。
Macの「screencapture」コマンドもLinuxの「xwd」コマンドも
当然Windowsも使って画面をキャプチャするコードが含まれています。

現状として、これのみです、シンプルすぎて問題ないように見えますが、
onブラウザで感染するので、スマホ、タブレット、PC(WIN/MAC/LINUX)、
サーバ、スマートウォッチなど全てのport80番を利用できるブラウザで
感染可能性があります。重要書類を開いた状態をキャプチャ出来ます。



ここ最近のウィルス、スパイウエア、ランサムウエアの傾向として、
Ubuntu 16.04 on Wine + いろいろ…で見るとわかりやすいのですが、
兎に角、本当に相当多くの不正なdnsサーバにアクセスしようと試みます。

当然技術者ですからUbuntu 16.04には一番最初にgufwをinstallしてます。
gufwは、Linux Ubuntu純正のFirewall設定ツールで少し加工するだけで、
感染OSがどこにアクセスしようとするか、アクセスするファイルはどれか、
この2つを判定することが出来ます。firewallのinとoutを監視する訳です。

元々Solaris(UNIX)ユーザ(Solaris 2.5.1～10までおさえてます)でしたし、
bind使用者(DNSサバ管)ですのでサーバIPは特定できるので、
うちのwebサーバは怪しいbindサーバは全てブロックしています。

既存システムをすべて止めて、フェイク用Linuxサーバ、SAMBAサーバ、
クライアントを動作させると、感染したWindowsPCとUbuntu/CentOS-PCは、
決まりきったアクセスをしようとジタバタするのは分かっているんですが、
最近動作がおかしいと入ってきたiPhone5系、MBA系が変な動作をします。

ウィルス時代が過ぎ、スパイウエア時代からWIN/MAC/Linuxは感染します。
今はランダムですので当然ネットワーク接続の端末は問わず感染しますが、
「MACはウィルスには感染しない」という15年以上昔の神話が独り歩きして、
MACユーザの危機感が低いように思います。
Win/LinuxはFWとウィルス/スパイ/ランサム対策が基本中の基本なので。


APPLEは先日スパイウエアと見なされる25アプリを公表しました。

以上のアイコンに見覚えがあれば、直ちに削除してください。

WWDC2017が終了して間もないですが、
当社のお客様でもMACが必要と数台お使いの方は多く、
WWDC2017が終わってからの動向の予測、サポートなど、
APPLEは地味に発表する癖があり、要望があり書いてみます。

元々私もAPPLEユーザなので分かっていることですが、
大前提としてAPPLEサポートは驚くほど短いと見てください。
ここ3年の動向として、サポート4年と見ておいてください。



APPLEが公式にあげている内容は…
・製品の製造中止後5年間修理サービスや部品を入手できる

次にOSX10のバージョンを確認…
OSX 10.6 Snow Leopard 2009/8/28 最終Update2011/6/23
OSX 10.7 Lion 2011/7/20 最終Update 2014/9/29
OSX 10.8 Mountain Lion 2012/7/25 最終Update2015/8/13
OSX 10.9 Marvericks 2013/10/22 最終Update2014/9/17
OSX 10.10 Yosemite 2014/10/16 最終Update2015/8/12
OSX 10.11 El Capitan 2015/9/30 最終Update2016/7/18
macOS 10.12 Sierra 2016/9/20 最終Update2017/5/15

もうひとつMACはウィルスに感染しない？…
http://francepresent.com/post-9764/
http://blog.trendmicro.co.jp/archives/14499
http://blog.trendmicro.co.jp/archives/12984
http://internet.watch.impress.co.jp/docs/news/747119.html
私が書くより記事を見てもらった方が早いです。



以上を踏まえて、PCもMACもLinuxもUSBメモリーを刺したいし、
ファイルもプリンターも共有したい、詳細な設定は出来ないです。

特に「その通り」と思う方は、ウィルスで大事件が起きたのち
アップデートが為されるOSを使うのがベターだと思います。
対策という言葉からも、検証→適用…なので遅れるのが常です。
2017年6月現在、APPLEが具体的に初期化対応してもらえる機器は、
OSX 10.9 Marvericksが入っていること、iPhone5以上であること、
(OSX10.9とiPhone5は今年サポート終了だと予測しています)
機種が多方面で全てを追えませんが、32bitCPUはそろそろNGです。



MAC向けOFFICE2011も2017/10/10にサポート終了のはずなので。
例えばiMac Retina 5Kを買う、OFFICEとAdobeCCが必要な場合は、
本体リース(4700円)+Office365(1274円)+AdobeCC2015(5380円)
くらい月額11354円程度+ウィルス対策になると思います。

現行のOFFICE365もAdobeCC2015も、1人の使用者につき2台まで
インストール可ですが、同時利用は絶対出来ません。
https://www.adobe.com/jp/creativecloud.html

特にAdobe製品については2年前に検証していますが、
基本ネットワークに未接続ならばインストールが完了しません。
別ネットワークセグメントに分けても、1週間で試用期限です。



ルールとして従業員1人あたりAPPLE1台に月額15000円は仕方なし、
ですが、少し不便さはありますがエスケープ方法はあります。
当然ソフトとOSのどちらが必須なのか、考える必要はありますが、
そりゃ20年ソフトを積み重ねてきた歴史がありますから、
バージョンを分ける、互換性を切分する、色々方法はあります。

当然技術者として現在の方向は10年前には見えていました。
10数年前に時間とお金と手間をかけた事は、回収できそうです。
もちろん回収できたそれは、次の10年先のために使うんですが。

数か月前から相方がかかりつけで取りかかっていた
RAID5サーバがランサムウェアに感染リカバリーですが、
見通しが立ったようで、ゆっくり時間をかけ話せました。

RAIDとは、複数のHDDを仮想的な1台HDDとして運用し、
冗長性を向上させる技術で、1990年代に始まったもの。
結論から話すと、既にRAIDは時代遅れだと思ってる。



RAIDは、HDDが高速で読み書き出来ない、HDD容量が少ない、
サーバが数百万以上で高額だ、バックアップが面倒だ、
ユーザデータは大事、こういった意味合いで使われるもの。

今はSSDにすれば、HDD-RAID0とは比べ物にならないほどの
高速動作するし、DC品質のものは容量的に少々高額になるが、
SeagateのNytroなら30万、IBMの00NA671なら70万で買える。



RAIDが主流だった頃は、ウィルスといっても悪戯目的が多く、
ましてやServerのファイルが全部暗号化などありえなかった。
またRAIDは、常にサバ管が見てる状態での運用は安定するが、
導入された企業を見ると、RAIDに安心してノーメンテが多い。

DC(データセンター)でのRAIDは、2年に1度はRAIDの電池交換、
SMARTを常に監視しセクターやブロック異常で即HDD交換が普通、
RAIDがエラーを出し始める時、HDD4台や5台中の1台ではなく、
複数台でエラーが出るから、RAIDがエラーを出してる場合が多い。
その状態でRAIDリビルドしても次のHDDのエラーを検出し、
システム毎逝ってしまう。そんな案件を多く見てきました。



私は基本PCは高速動作じゃないと困る人なので、
以前はHW/SW RAID0を多用しましたが、2007年頃までです。

モノは何でも得意不得意があるので、それを正しく理解して
使用するのがベストだと、ssdにもhddにも言えることです。
HDDの得意は、書換耐性、data保持期間。障害復旧、容量安価、
そこだけにHDDを利用し、SSDは4つがとても弱いと認識すれば、
自ずと今の主流システム構成が見えてくると思います。



今の時代、オフラインバックアップが無いと企業は詰みます。
請負仕事ですが、依頼主は1/3以下に縮小を余儀なくされます。
こうならないためにも、ある程度のお金はかけるべきです。
今はWindowsパソコンが少なくとも1台無いと仕事が出来ない。
そんな時代ですから。

うちも余所と同調しながら、サービス価格を決定していますが、
横との繋がりで、この仕事をお願いしたらどれくらいになる？
と聞くと、到底うちがお客様から頂いてる金額では足りません。

創業から価格を一切触っておらず、そろそろ世間相場に合わす
時期が来てるのかも。既存お客様には絶対言わないつもりですが。



ランサムウェア暗号化済みを復号リカバリーで1台30万から…、
ランサムウェアにやられたサーバ+RAID5で1台280万から…、
らしいです。それだけボッたくるのか、「うち安すぎだわ」と
同僚が横でほざいています。いやボリすぎだと私も思います。
確かにランサムウェア犯人に払う人もいるのもわかる気がする。

Office365が始まって、後1か月でまる6年目、
2015年1月の値上げで当社もお客様へのお勧めは止めましたが、
Windows7や8.1や10を今までのOffice2010ライセンス契約から
Office365のサブスクリプション契約に切り替えた企業や組織は、
途中解約してライセンス購入方式に戻すのはかなり大変です。

Office365+Windows10 Homeだと機能を勝手に追加して、
「機能を拡張したので料金を自動で値上げしておきました。」
更に「古いマクロは使えません」というMicrosoft、阿漕です。

ニュースではYAMAHAが365を導入して問題が発覚中で、
YAMAHAですから、表計算ソフト作れるのではないかと思ったり。



Adobe CCなど始め月額は儲かるってのが分かっているのか、
Office365の値上げスパンは約3～4年とわかっているので、
Business Premiumで2011/07に1030円、2015/01に1360円なので、
来年の夏ごろには1780円(年間2万)だろうと予測しています。

問題は365で作られたWord/Excel/PPのファイルの段組みが狂う。
当社としてもOfficeからの移行先として考えはあります。

その最も適しているであろうオフィススイートはLibreOffice
Ubuntuの評価は終了しているので、次はWindows7/8.1/10で！
Excelマクロも2000/2003/2007/2010にほぼ互換があり、
エンコードの部分で文字化けなどもありますがほぼ大丈夫です。

唯一の問題は、LibreOfficeで保存したファイルをOffice20xxで
開くと一部文字化けすること。本当に面倒なものばっか作るね。



しかし報道されているだけでも、LibreOffice導入は増えており、
---------------------------------------------------------
国内と海外政府のみ抜粋
福島県会津若松市役所、埼玉県久喜市役所、滋賀県甲賀市役所、
静岡県湖西市役所、愛知県豊明市役所、徳島県庁、JA福岡市、
アシスト、住友電気工業、フランス、ブラジル、イギリス、
デンマーク運輸省、オランダ防衛省、イタリア防衛省など
---------------------------------------------------------
当社としても評価だけは完了しておかないとと
空いている時間を見つけて、エラー出し続けております。
Office2010を選択された方は、2020年までは考えなくてOKです。

WindowsをクラッシュさせるNTFSのバグが発覚とのこと、
詳細は以下のURLを参照してみてください。
https://japan.zdnet.com/article/35101928/

締め括りがいけてます。
「Windows 10はこの攻撃の影響を受けない」
こういう営業方法もあるんですね、勉強になります。

この問題、ずっと昔からあるブラウザ固有の問題で
特に「Firefox」と「Internet Explorer」にある現象です。
かつ、固有バージョンによって動作の確認が取れてます。

Internet Explorerは任意的にVerをロックすることが可能で、
Firefoxは起動するごとにバージョンアップするため、
私は個人的にFirefoxを使いませんし、お客様にお勧めしません。
またIEのバージョンをロックし、それを官庁の入札に使うのも、
この理由が大きいです。

普段することができず、Microsoftやその他ソフトメーカーの
セキュリティ更新に追われすぎて、普段の事が全くできません。
来週からWWDC2017がスタート、APPLEから新発表はあるんだろうか
寝る時間が無い…。

2017年5月15日にアップデートされたWannaCry対策用
Windows7アップデートファイルをサーバに上げておきます。

当然Microsoft Update Centerにあるファイルですが、
検索で探すには情報が煩雑、また悪意者もそれ狙いなので、
訳のわからないダウンサイトでDLするのはお勧めしません。

このダウンロードは、自己責任でお願いします。
トラブルが起きても、当社は一切責任を持ちません。
念のためSHA1ハッシュも書きますMicrosoft.comで要確認

Windows7 x86 32bit用 KB4012212 SHA1:6bb04d3971bb58ae4bac44219e7169812914df3f
http://omurogi.co.jp/soft/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

Windows7 x64 64bit用 KB4012212 SHA1:2decefaa02e2058dcd965702509a992d8c4e92b3
http://omurogi.co.jp/soft/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

W7 IE11 x86 32bit用 KB4012204 SHA1:2b838f796df8df5580ba59d41b54ba6a86d6a84a
http://omurogi.co.jp/soft/ie11-windows6.1-kb4012204-x86_2b838f796df8df5580ba59d41b54ba6a86d6a84a.msu

W7 IE11 x64 64bit用 KB4012204 SHA1:aae120b92b516044b82e6462288521e8974f8e2e
http://omurogi.co.jp/soft/ie11-windows6.1-kb4012204-x64_aae120b92b516044b82e6462288521e8974f8e2e.msu

SMBv1の脆弱性を突いてトロイの木馬としてPCに侵入、
特定domainに接続を試み、接続成功すると動作が停止、
感染拡大やほかのシステムへの侵入/拡大を停止する。
一方で接続が失敗すると、プロセスがランサムウェアを
ダウンロードし、システムにMSCS2.0サービスを作成する。

逆に言えば、かつ、簡単に言えば、
企業やISPでこのdomainへのアクセスを停止させると、
WannaCryの感染を逆に広げてしまう動作になっている。

侵入が成功すると、mscs2.0と呼ばれるプロセスを立ち上げ、
「Microsoft Security Center (2.0) Service」として偽装する。
次に、レジストリにシステム起動時に自動起動するように仕掛け、
独自のディレクトリを作成し、そこにmakeしてプログラムを作成。

Microsoft謹製としてSecurity Centerは実際にあるので、
Microsoft Security Center (2.0) Serviceとされてしまったら
一般ユーザが気づくはずも無く、踏み台になってる図式ですね。



WannaCryの共有フォルダ被害に関してですが、
現行サーバでは共有先ファイルは問題なさそうです。
WannaCryの共有被害が起こるのは、SMB1.xです。
完全に2014年にサポートを終えたWindows XP が標的です。

Windows7はSMB2.1で被害は確認されていません。
とすると、イギリスの病院も、イオンも、日立も一部に
Windows XPがあったことが客観的に証明され・・・・。



OSXに関しても、SMB v1.xをMavericks 10.9.xまで使っていて、
10.9.5でSMB v2.xになっていて、被害が出る可能性はあります。

W Server 2003とWindows XPのデータサルベージの
料金改定しておかないと、大変なことになりそうです。
サルベージを考えると絶対XPなど使わないはずですが。

WannaCryは、2017/5/12発見されたランサムウェアです。
暗号化型ランサムウェア「WannaCry」の流行が始まりました。
規模は世界的で、2日間での攻撃の数はジャストシステム調べで
80000件を数えました。実際の攻撃数は、もっと多いでしょう。

https://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html



ランサムウエアは、すべてのファイルを暗号化します。
感染したら全てのデータは諦める他なく、例外はありません。
一般的にWannaCryは2段階でやってきます。



--1段階目、感染と感染拡大を意図したエクスプロイド侵入--

エクスプロイドとはマルウェアの一種です。
マルウェアに含まれるデータや実行可能codeがコンピューターや
リモートコンピューターで動作するソフトの脆弱性を悪用します。

簡単に言うとこんな感じです。
例えば、InternetExplorerやFirefox、Opera、Chromeなどの
使用中ブラウザがアップデートせず脆弱性が存在するとします。

すると、PC上で密かに「マルウェアのcode」が実行されたり、
システムが想定外の動作をするようになったりします。
大半のケースで、PCで何でもできるように、権限を昇格させます。

ブラウザーは、Flash、Java、Microsoft Officeと並んで、
特によく狙われるソフトウェアです。広く利用されているため、
セキュリティEXPもハッカーも積極的に脆弱性を探しており、
ベンダーは修正パッチをたびたびリリースしなければなりませんが、
対策という言葉からも、検証→適用…なので遅れるのが常です。

犯罪者は他の感染手段よりエクスプロイトを好む傾向にあります。
運任せになることもある悪戯目的とは違って、脆弱性の悪用は
犯罪者の望みどおりの結果(金銭的結果です)を出せるからです。

エクスプロイトが送り込まれる経路は2つしかありません。
1.悪意あるエクスプロイトcodeが仕込まれたサイトにアクセス
2.一見無害そうな悪質なコードが隠されたファイルを開いたとき
簡単に想像付くと思うが、スパムやフィッシングを介しています。
またjs/jsonは平文&改行コード無しですから、簡単に入ってきます。



--第2段階、暗号化型ランサムウェアをダウンロード--

WannaCryには、他の暗号化型ランサムと異なる特徴があります。
今までの暗号化型ランサムウェア(Locky/Petya)に感染するには、
コンピューター利用者の側で何らかのアクションが必要でした。
例えば、不審なリンクをクリック、Word開いて悪意マクロを実行、
メールに添付された添付ファイルをダウンロードするなどです。
しかしWannaCryの場合、一切の操作を必要としません。

Microsoftは、セキュリティ更新プログラムをインストール済み
なら当該脆弱性は存在せず、PCリモートハッキングはできません。
としていますが…、なんらかの形でWannaCryを実行していれば
(リンクのクリック、マクロの実行、添付ファイルのダウンロード）
完全に感染済みで今現在の段階で被害を防ぐことはできません。



1台のPCが感染すると、WannaCryはLAN内全体に感染を広げます。
そのネットワーク上にあるPCすべて暗号化する可能性があります。
大企業がWannaCryの攻撃に苦しめられているのはこのためです。
ネットワーク上にあるPCの数が多いほど、被害規模が拡大します。
これも以前のLocky/Petya/Cryptとは違うところです。



またWannaCryはさまざまなタイプのファイルを暗号化します。
Office文書、画像、動画、圧縮、データベースソースのほか、
重要なデータを含む可能性のあるファイル形式が影響を受けます。
暗号化されたファイルには「.WCRY」という拡張子が付けられ、
開くことができなくなります。

暗号化の後、デスクトップ壁紙が、感染の事実を告げ、
取るべき行動を指示する内容を含む画像に変更されます。
さらに、感染者が間違いなくメッセージに気付くように、
同じ内容の文章テキストがPC内の各フォルダーに配置されます。

一般的なランサムウェアの場合と同様Bitcoinで身代金を支払い、
その後に全て復号されることになる、というのが一連の流れです。
3日後には身代金の額が増額され、7日後には復号が不可能になる。
身代金を支払っても必ずファイルが復号される保証はないので、
支払いはお勧めしません。




--感染の大きな原因--

大きな原因は、市場に溢れているPCにインストールされたソフト
特にサポート終了とApple/Microsoft/Javaが言っても使い続ける。
Windows2000/XP/VISTA群、Office2000/2003/XP群、JAVA6.x群、
OSX 10.8以前の群、update放置されたWordPressと思ってます。

OSXもWindowsも便利の名の元に画面の裏側でdbが動作します。
悪意がある感染を拡大させたい者が、使わないはずがありません。

今回の攻撃の多くは、ロシアで起きていますが、
ウクライナ、インド、台湾、カザフスタン、タジキスタンでも
WannaCryによる被害が頻発しているようです。




今回、複数の大規模組織が一斉に感染を報告しました。
中でもイギリス病院は、手術を中断せざるをえなくなりました。

日本は今の所、日立とイオンとJR東日本だけ？
日立グループのパソコンは昼の段階で全部止まったらしいです。
感染マップを見ると古いCISCOルータが使用されているところか、
日本にJustsystemとYAMAHAがあってよかったってところですね。




--感染しないためには--

・メールに添付されたファイルは開かない
・メールをOutlookやLiveMailでプレビューしない
・無料のアダルトサイトへはアクセスしない
・オークションなどで販売されるOSやOFFICEを使わない
・感染拡大中やサイバー攻撃とニュースが言うときは触らない
・動作がおかしいなと思ったらシャットダウンする

です。





PS....VISTAがサポート終了して約1か月ですか、
https://omurogi.com/index.php?e=327
どう考えても完全に狙いうちですね、今回のは正直怖いです。
出来れば1週間ほどはWindowsを使いたくない気分ですし、
今もUbuntuで更新してます、自衛隊機が気になるとこですね。

去年の春くらいからサービスが提供されていましたが、
実際のメールを見てから記事にしようと思っていました。



ocnが2016年2月から始めたサービスで、DNS参照情報を元に、
既知不正サーバへの通信検知→それを防く→利用者通知！
これでocnを使っている限りはほぼ自動ブロックです。


http://www.ntt.com/personal/ocn-security/info/malware.html
「マルウェア不正通信ブロックサービス」について


ocnからの通知事案については、ocnが通信遮断してます、
この部分で被害にあうことはないと証明されていますが、
ocnが検知していない(認識していない不正サーバ)への
アクセスがあった場合は、すりぬけている可能性はあります。

何が盗まれたかは、残念ながらocnも回答することはできなく、
また危険なサーバに対するDNS参照をブロックしただけで、
通信内容をチェックしているわけではありません。

一般的に、この手のマルウェアが狙うのは、
メールアドレス、各種のIDとパスワード、そこに紐づけられた
カード情報、口座情報で、直接カード番号が漏出しなくても、
入手したIDでクーポンや高額商品で換金で目的は達成されます。



このメールがもしプロバイダから届いている場合は、
ネットワークスペシャリストやデータベーススペシャリストに
多くのブラウザのキャッシュを完全に初期化してもらうべきです。
各種口座から現金などが無くなってから慌てても後の祭りです。
このサービスは早く全てのプロバイダに適用してもらいたいです。